VBS.Downloader-AJV[trj] Fermé

Question

Après avoir utilisé ma clé USB dans un cybercafé, je réalise en les réutilisant que mes icônes de dossiers sont des raccourcis. J'effectue un scan et Avast me détecte le fichier [Embedded.MSEncoded] infecté par VBS.Downloader-AJV[trj]. Je tente de supprimer ce fichier régulièrement mis en quarantaine par Avast continue de m'alerter sans cesse. Je retire ma clé et cela continue sur mon ordinateur. Scénario catastrophe. 
Je me renseigne et installe Marmiton, désactive le Windows Script Host, installe Remediate VBS Worm et nettoie ma clé USB infecté. La procédure se passe correctement. Je ne suis pas sûre d'avoir nettoyé correctement mon ordi ensuite puisque qu'Avast continue de m'alerter. 

Le lien du rapport Remediate : https://pjjoint.malekal.com/files.php?id=20180807_i9i11d12l13k8

J'ai lu qu'il serait bien que j'utilise USBfix. Que dois-je faire?
Merci pour votre aide...

Malekal_morte- · Answer

Salut,

Déjà pour vérifier que l'ordinateur n'est pas infecté.

Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour : 

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

L'ordinateur est touché, donc ça ne sert à rien de nettoyer les clés USB. Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles. Ils encombrent Windows et peuvent le ralentir. Tu peux donc les désinstaller. Vas dans le Panneau de configuration puis programmes et fonctionnalités. Désinstalle : CCleaner CyberLink Java PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout. Si tu veux le garder, désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/ Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran. Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y. Le bloc-note va s'ouvrir, copie/colle ceci. CreateRestorePoint:CloseProcesses:2018-03-23 18:26 - 2018-03-23 18:26 - 000000000 _____ () C:\Users\Laura\AppData\Local\{321EAB4C-23A4-47AA-ADC0-8D81D45A24D6}2018-03-27 00:53 - 2018-03-27 00:53 - 000000000 _____ () C:\Users\Laura\AppData\Local\{34CE6996-076D-486D-A83D-D724CA109815}2018-03-28 14:32 - 2018-03-28 14:32 - 000000000 _____ () C:\Users\Laura\AppData\Local\{3DD63238-317A-4211-AE91-8061069202EB}2018-03-25 22:55 - 2018-03-25 22:55 - 000000000 _____ () C:\Users\Laura\AppData\Local\{78FE9297-BCF6-4294-8420-1915C6017370}2018-03-30 21:39 - 2018-03-30 21:39 - 000000000 _____ () C:\Users\Laura\AppData\Local\{87A126C3-0BBD-41F5-9CF3-E5E017D15390}2018-03-22 05:42 - 2018-03-22 05:42 - 000000000 _____ () C:\Users\Laura\AppData\Local\{DBB8D2E0-EFA1-4A3A-AF7A-2103A43E1D0B} Task: {240FC693-4DC5-4138-835B-C9D2553D36D9} - System32\Tasks\{32AA49B0-C2EB-47A5-BD8E-E8CE3FE2560C} => C:\WINDOWS\system32\pcalua.exe -a C:\ProgramData\TVWizard\uninstall.exe -c /kb=y /ic=1 <==== ATTENTIONTask: {84D1E096-0EC6-4690-B470-1E6DA8729D9F} - System32\Tasks\{4F15A816-E401-4E91-A343-6B71D897FCE2} => C:\WINDOWS\system32\pcalua.exe -a C:\Users\Laura\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=tugs <==== ATTENTIONStartup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-08-07] () C:\Users\Laura\AppData\Roaming\omiga-plusC:\ProgramData\TVWizardStartup: C:\Users\Laura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2018-08-07] ()CHR HKU\S-1-5-21-34896754-2707889332-2859732775-1002\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Hosts:EmptyTemp:RemoveProxy:Reboot: Enregistre le contenu par le menu fichier puis enregistrer. Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix" Un redémarrage sera peut-être nécessaire et automatique. Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur. 2) Pour te protéger des infections amovibles type Wscript (Windows Script Host) Télécharger et installer Marmiton Clic sur Désactiver au niveau de Windows Script Host. Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) notamment qui sont utilisés pour propager des ransomwares comme Locky. 3) Pour nettoyer les disques amovibles des virus USB, suivre dans l'ordre les étapes du tutoriel : insère un à un tes clefs USB et disques durs externes que tu as pour les nettoyer. Envoie ensuite les rapports sur https://pjjoint.malekal.com/ et donne les liens menant à ces rapports pour que l'on puisse les consulter. Brancher toutes les clefs USB et autres périphériques amovibles. Télécharger Remediate VBS Worm Lancer l'option B Taper la lettre de la clef USB, par exemple, E et entrée [color=red]ATTENTION: NE PAS INDIQUER LE LECTEUR DE TON DISQUE DUR ![/color] Va dans "Mon ordinateur" puis disque "C", un rapport "Rem-VBS.log" doit s'y trouver. Ouvre ce rapport avec le bloc-notes et copie/colle le contenu ici dans une prochaine réponse.

Malekal_morte- · Answer

Pour Google, c'est juste une pub provenant d'Avast! pour refiler leurs produits ....
Par contre WSH est activé sur Marmiton pas.
Faut lancer Marmiton en administrateur (clic droit / exécuter en tant qu'administrateur) pour que le bouton désactiver puisse être cliquable.

Noodle0902 · Answer

Compliqué de tout faire ne décalé mais si cela est toujours d'actu voici le fameux rapport fixlog, fait à l'instant ainsi que les autres rapports associés : https://pjjoint.malekal.com/files.php?id=20180808_l15b15x9v6n13

Rapport FRST : https://pjjoint.malekal.com/files.php?id=FRST_20180808_h8p12o10v10n12
Rapport Addition : https://pjjoint.malekal.com/files.php?id=20180808_u11e10e137b14
Rapport Shortcut : https://pjjoint.malekal.com/files.php?id=20180808_r6i8y5j10i14

Malekal_morte- · Answer

Ca a l'air bon côté malwares.
Désinstalle USBfix, garde Remediate VBS pour nettoyer la clé USB si tu l'utilises sur un ordinateur infecté.
Marmiton protégera l'ordinateur de ce type d'infection.

Désinstalle Avast Cleanup Premium, inutile.

cacaoweb a été installé volontairement ?
si tu ne sais pas ce que c'est, lire : https://www.malekal.com/cacaoweb-virus-supprimer/

HKU\S-1-5-21-34896754-2707889332-2859732775-1002\...\Run: [cacaoweb] => C:\Users\Laura\AppData\Roaming\cacaoweb\cacaoweb.exe [452608 2018-06-28] ()
HKU\S-1-5-21-34896754-2707889332-2859732775-1002\...\Run: [uTorrent] => C:\Users\Laura\AppData\Roaming\uTorrent\uTorrent.exe [2146496 2017-08-26] (BitTorrent Inc.)

VBS.Downloader-AJV[trj]

5 réponses

Discussions similaires